Marketing & RGPD : prospection via un canal digital

Prospection commerciale = définition donnée par le Code des postes et des communications électroniques (art. L.34-5)

« (…) constitue une prospection directe l’envoi de tout message destiné à promouvoir, directement ou indirectement, des biens, des services ou l’image d’une personne vendant des biens ou fournissant des services. »

Exemple : l’envoi d’une newsletter, courrier electronique, sms, mms …

Les règles relatives à la prospection commerciale s’appliquent aussi bien aux relations B to B que B to C. 

 

Le recueil du consentement préalable : le régime de l’opt-in

Le principe de l’opt-in est posé à l’article L.34-5 précité qui définit le consentement comme étant « une manifestation de volonté libre, spécifique et informée ». Le RGPD (art. 4) est légèrement plus contraignant sur la notion de consentement : « libre, spécifique éclairé et univoque ».

Le recueil du consentement doit intervenir avant la collecte des données.

Le recueil du consentement doit être exprès et spécifique.

Bonnes pratiques

une case à cocher (= la formalisation de l’opt-in)

Ainsi, lorsqu’un même traitement poursuit plusieurs finalités ou sous-finalités, le consentement doit être donné pour l‘ensemble d’entre elles (ex. envoi de newsletter, etc.) ; auquel cas il convient de prévoir autant de cases que de finalités.

 

Mauvaises pratiques

recueil du consentement dans des CGU, CGV, contrat d’abonnement, etc.

associer le recueil du consentement à la participation à un jeux concours

 

Les exceptions au recueil du consentement préalable : le régime de l’opt-out

L’utilisation de DCP recueillies lors d’une vente ou d’une prestation de services antérieures, à des fins de prospection est possible dans un cadre B to C si :

le destinataire a été informé lors de la collecte que ses DCP pourraient être utilisées à des fins de prospections

la prospection concerne des produits ou services analogues

le destinataire a la possibilité de s’opposer, lors de la collecte initiale des DCP, puis à chaque envoi, à l’utilisation future de ses DCP.

LES CONDITIONS SONT CUMULATIVES, à défaut on retombe dans le régime général

 

L’envoi de prospection par email dans un cadre B to B (adresse nominative pro et pas une adresse générique) est possible si :

le destinataire a été informé lors de la collecte que ses DCP pourraient être utilisées à des fins de prospections

l’objet de la prospection doit être en rapport avec la profession de la personne démarchée (ex. prospection de logiciels ou de matériels de bureautique envoyé au DSI)

le destinataire a la possibilité de s’opposer, lors de la collecte initiale des DCP, puis à chaque envoi, à l’utilisation future de ses DCP

 

Les mentions obligatoires du message de prospection

les coordonnées à jour de l’émetteur permettant au destinataire de s’opposer à l’envoi de sollicitations ultérieures, sans frais (lien de désinscription) 

le cas échéant, l’identité de l’annonceur pour le compte duquel la prospection est réalisée

préciser un objet ne rapport avec la prestation ou le bien proposé

 

Les bonnes pratiques (applicables dans toutes les situations : B to B, B to C, opt-in, opt-out) 

s’assurer que la collecte des données a été faite loyalement, directement auprès de la personne concernée

s’assurer que lors de la collecte la personne a été informée conformément aux prescriptions du RGPD (article 13) 

inscrire le traitement au registre des activités de traitement

Marketing et RGPD à l’étranger

Le RGPD est un règlement européen, ce qui veut dire d’application directe, cad que son contenu s’applique tel quel, directement, dans les Etats membres, sans passer par une loi nationale de transposition (comme c’est le cas pour les directives européennes). Du coup, OUI, le RGPD est un texte qui rend la protection des DCP homogènes dans l’ensemble des Etats membres.

Réserve n° 1 : le RGPD ne couvre pas tout le champ de la protection des DCP. Exemple propre au marketing les cookies qui sont du ressort du futur règlement e-Privacy s’il voit le jour.

 https://www.cookiebot.com/fr/reglement-e-privacy/

 

Réserve n° 2 : il y a des particularités nationales et le RGPD en a tenu compte en laissant une petite marge de manœuvre aux législations nationales sur des points résiduels. Par exemple le NIR (n° de sécu sociale) est une particularité française ; c’est une donnée sensible pour nous, mais qui n’existe pas ailleurs ; du coup l’article 9 du RGPD qui traite des catégories particulières de DCP ne la mentionne même pas. Pour autant, en France les opérateurs et la CNIL peuvent (et même doivent) continuer à traiter cette donnée franco française comme une donnée sensible… 

Et c’est bon pour le moral de rappeler que la France a été l’un des tous premiers Etats (au MONDE !!!) à se doter d’une législation en matière I&L.

En cas de flux de données personnelles hors Union Européenne

Il faut raisonner en termes export/import : est-ce que j’exporte des données personnelles ou est-ce que j’en importe.

Si j’exporte des données à caractère personnelle je dois garantir la protection de celles que je traite (voir ci-dessous)

Si j’importe des données personnelles (par exemple de Chine où le niveau de protection est inférieur), je dois quand même respecter le RGPD parce que je suis opérateur sur le sol de l’UE.

Globalement, le RGPD ne s’applique pas lorsque je suis implanté hors UE et que je traite des données personnelles qui ne concernent pas des ressortissants de l’Union Européenne (article 3 du RGPD consacré au champ d’application territorial).    

Que faire en cas d’export hors Union Européenne ?

Vérifier si l’Etat de destination est adéquat (Aux Etats-Unis par exemple, vérifier si le destinataire est référencé au Privacy Shield)

A défaut il faut apporter des garanties appropriés (encadrement juridique spécifique pour assurer un niveau de protection adéquat des données personnelles concernées » par ce flux)